A criptografia de sites é praticamente obrigatória na Internet atual. Se você não criptografar seu site, os navegadores o marcarão como não seguro. Você poderia ter o conteúdo mais original da Web, mas, sem o SSL, seus visitantes verão um aviso de segurança desagradável.
Os certificados SSL tornaram-se essenciais para a criação de sites, mas gerenciá-los continua sendo um grande desafio para os usuários menos experientes em tecnologia. A instalação de certificados comerciais pode representar alguns obstáculos para os inexperientes, e ninguém pode culpá-los por isso.
Quase todos os servidores e clientes de e-mail têm instruções específicas sobre como gerenciar o SSL e, se você não estiver familiarizado com seus painéis de controle ou linhas de comando, pode ser complicado carregar seus certificados na sequência correta.
O que é mais irritante são os erros de conexão SSL que ocorrem depois que você já instalou o certificado. Um dos problemas mais comuns de SSL é o erro de conteúdo misto. Neste artigo, examinaremos o que é conteúdo misto e como corrigi-lo manualmente ou com a ajuda de ferramentas SSL. Vamos começar!
O que é conteúdo misto?
O conteúdo misto aparece em um site quando o HTML inicial é carregado por meio de uma conexão HTTPS criptografada, mas outros recursos, como vídeos, imagens, scripts e folhas de estilo, são carregados por meio de uma conexão HTTP não criptografada. Quando ambas as solicitações HTTP e HTTPS ocorrem na mesma página, os navegadores podem bloquear o conteúdo ou exibir um aviso de segurança para alertar os usuários de que a página em questão contém recursos inseguros.
Existem dois tipos de conteúdo misto: passivo e ativo.
1. Conteúdo misto passivo
O conteúdo misto passivo se aplica a todos os recursos que não interagem diretamente com sua página. Podem ser suas imagens, vídeos ou arquivos de áudio. Se os hackers usarem ataques man-in-the-middle e interceptarem suas solicitações HTTP, eles poderão alterar suas imagens, substituir produtos por conteúdo ou anúncios ofensivos ou trocar os botões salvar e excluir, fazendo com que os usuários realizem ações não intencionais.
Mesmo que os invasores não alterem seu conteúdo, eles ainda podem rastrear seus usuários e suas ações usando solicitações de conteúdo misto. Os invasores podem ver as páginas e os produtos que os usuários estão visitando com base nos recursos inseguros que os navegadores carregam. Aqui estão alguns exemplos de aprovação de conteúdo misto.
2. Conteúdo misto ativo
O conteúdo misto ativo é ainda mais perigoso do que o conteúdo misto passivo porque interage com a página como um todo e dá aos invasores a liberdade de fazer qualquer coisa com ele. O conteúdo misto ativo inclui folhas de estilo, scripts, recursos flash e outros códigos que os navegadores carregam. Se os invasores interceptarem o conteúdo misto ativo, eles terão acesso total e controle do seu site. Na pior das hipóteses, eles roubam as credenciais de login e as senhas dos usuários ou os redirecionam para um site completamente diferente. Devido à gravidade das ameaças de conteúdo misto ativo, muitos navegadores as bloqueiam por padrão para proteger os usuários. Mas é importante ter em mente que seus visitantes podem usar versões mais antigas do navegador ou navegadores que não bloqueiam conteúdo misto ativo.
O pessoal da PULNO, um serviço de auditoria de SEO e análise de sites, examinou mais de 37 milhões de páginas e descobriu que mais de 2 milhões de páginas tinham recursos que não carregavam em HTTPS. De todos os hosts analisados, 4,9% tinham conteúdo misto. Entre eles, 66,5% tiveram problemas com imagens e 17,1% tiveram problemas com elementos JavaScript.
Como você pode ver, a próxima etapa após a instalação do SSL é garantir que todas as suas imagens e códigos sejam carregados por HTTPS. Infelizmente, muitos webmasters negligenciam esse aspecto e acabam perseguindo erros mistos, enquanto perdem visitantes para a concorrência. A seguir, mostraremos como corrigir o conteúdo misto o mais rápido possível para que seu site permaneça visível para todos.
Como corrigir manualmente o conteúdo misto?
A primeira coisa que você deve fazer se encontrar a mensagem Not Secure nos navegadores é verificar se há conteúdo misto em potencial.
Veja como fazer isso no Chrome:
- Clique com o botão direito do mouse em qualquer lugar da página que não seja carregada por HTTPS
- Entre as opções, selecione Inspect Element (Inspecionar elemento)
- Nas guias disponíveis, selecione Console
Se houver conteúdo misto em seu site, o Console exibirá os avisos de conteúdo misto e mostrará o local do arquivo HTTP. O conteúdo misto passivo aparecerá ao lado de um aviso amarelo e o conteúdo misto ativo ao lado de um aviso vermelho.
Se apenas alguns URLs estiverem listados nesses erros e avisos, você poderá corrigi-los manualmente em três etapas rápidas:
Etapa 1
Certifique-se de que o URL esteja disponível em HTTPS. Abra uma nova guia em seu navegador e digite o URL na barra de endereços, alterando http:// para https://.
Se a imagem for carregada sem erros em HTTP e HTTPS, ótimo! Vá para a próxima etapa.
Observação: Se aparecer um aviso de certificado, a imagem não está disponível de forma segura. Isso pode ocorrer com imagens hospedadas em serviços externos. Nesse caso, você pode fazer o download da imagem e carregá-la no seu host, se tiver permissão legal para isso, ou removê-la completamente do seu site. Como regra geral, você deve sempre hospedar suas imagens em seu servidor. Dessa forma, você terá controle total sobre eles.
Etapa 2
Altere o URL de http:// para https:/, salve o arquivo de origem e reimplante o arquivo atualizado, se necessário.
Etapa 3
Abra a página em que você encontrou o erro de conteúdo misto e verifique novamente se o erro não aparece mais.
Como corrigir automaticamente o conteúdo misto?
Substituir alguns é fácil, mas o que fazer se você tiver dezenas ou até centenas de links de conteúdo misto. Existe uma maneira de corrigi-los automaticamente? Claro que sim. A maioria dos sistemas CMS deve ter plug-ins prontos para ajudá-lo com esse problema. O WordPress, por exemplo, não tem poucas opções, sendo o plug-in Really Simple SSL uma escolha popular.
Se você for um usuário mais avançado, poderá usar este prático script para pesquisar seu banco de dados e substituir em massa os URLs HTTP. Você precisará de acesso FTP para carregar o script. Tenha cuidado, pois isso pode danificar seu site se não for feito corretamente.
Siga estas instruções de segurança ao usar o script:
- Renomeie a pasta raiz do script para que os hackers não a encontrem facilmente
- Faça backup de seu site e banco de dados antes de usar
- Sempre verifique novamente o texto e faça um Dry Run (prática) antes de um Live Run
- Exclua o script depois que ele tiver feito seu trabalho
Como detectar e evitar conteúdo misto?
Depois de ativar os HTTPs, você deve verificar se há erros e vulnerabilidades em seu certificado SSL. Muitas ferramentas podem examinar seu site e detectar possíveis erros de conexão SSL, inclusive conteúdo misto.
O JitBit Scanner é uma ferramenta gratuita que rastreia todo o seu site e procura recursos inseguros. Observe que você só pode digitalizar até 400 páginas com essa ferramenta.
Uma opção alternativa é o Mixed Content Scan, um script de CLI (interface de linha de comando) que rastreia e examina sites habilitados para HTTPS em busca de conteúdo misto.
Outra maneira de corrigir automaticamente o conteúdo misto é a diretiva CSP (política de segurança de conteúdo) upgrade-insecure-requests. Essa diretiva informa ao navegador para atualizar URLs inseguros antes de fazer solicitações de rede.
Você pode ativar esse comportamento adicionando o seguinte trecho de código de meta tag à seção HTML dos documentos.
Lembre-se de que, se o recurso HTTP não estiver disponível em uma conexão segura, os navegadores não conseguirão atualizá-lo e carregá-lo. No entanto, os visitantes ainda poderão acessar sua página.
Considerações finais
Manter seu site seguro é fundamental no atual cenário on-line. Com a criptografia da Web ultrapassando o número de 90% nos serviços do Google e do Firefox, os usuários identificarão e questionarão instantaneamente um site inseguro. Você certamente não quer que seu site crie uma impressão errada por causa de um erro de conteúdo misto que pode ser facilmente evitado. Monitore seu certificado SSL regularmente e atualize todos os seus links assim que migrar para HTTPS. Um site seguro é um site seguro tanto para seus visitantes quanto para seus negócios.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10